PT-2024-28522 · WordPress · Ditty
Sonicrrrr
+1
·
Publicado
2024-05-09
·
Atualizado
2024-05-14
·
CVE-2024-3954
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Ditty para versões do WordPress anteriores à 3.1.38
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior injetem um objeto PHP por meio da desserialização de entradas não confiáveis ao adicionar um novo ditty. Isso poderia potencialmente levar à exclusão de arquivos arbitrários, à recuperação de dados confidenciais ou à execução de código, caso haja uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo.
Recomendações
Para o plugin Ditty para versões do WordPress anteriores à 3.1.38, atualize para a versão 3.1.38 ou posterior para resolver o problema.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ditty